PDF

Transcrição

PDF

GUTACHTEN
Wahlmaschinen
bei der Bundestagswahl 2009
Studentische Ausarbeitung im Rahmen der Veranstaltung
Information Rules I im WS2006/07 an der TU Berlin
Kai Dietrich, Clarissa Meyer, J. Niendorf
Februar 2007
DISCLAIMER:
Dies ist ein ktives Gutachten. Die hier getroenen Aussagen dienen
lediglich der Erfüllung der gestellten Aufgaben. Die Autoren sind der
Meinung, dass elektronische Wahlgeräte prinzipiell unsicher sind und
nicht eingesetzt werden sollten. Mehr Information zu
Sicherheitsproblemen bei Wahlmaschinen unter:
http://itpolicy.princeton.edu/voting/
und
F
IK
T
IV
http://www.wijvertrouwenstemcomputersniet.nl/
All texts in this work are licensed under the
Creative Commons Attribution-NonCommercial-ShareAlike 2.0
http://creativecommons.org/licenses/by-nc-sa/2.0/
de/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105,
License. To view a copy of this license, visit
USA. The copyright of all images belongs to their respective owners.
GUTACHTEN
Wahlmaschinen
bei der Bundestagswahl 2009
Gutachten im Auftrag des Bundesministerium des Innern
Ausgeführt durch Lufthansa Systems AG, Allpen GmbH Hamburg, Nokia GmbH
Kai Dietrich, Clarissa Meyer, J. Niendorf
Februar 2007
Inhaltsverzeichnis
1
2
Executive Summary
1.1
Kurzbeschreibung
1.2
Empfehlungen
2.2
6
2
3
. . . . . . . . . . . . . . . . . . . . . . . . . .
3
2.1.1
Technische Funktionsweise
Das Digitalstift-Verfahren . . . . . . . . . . . . . . . . . . . . . . .
3
2.1.2
Der Digitalstift . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.1.3
Die Wahlsoftware
. . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.1.4
Drei-Dockingstations-Verfahren . . . . . . . . . . . . . . . . . . . .
9
Ablauf einer Wahl mit dem Digitalen Wahlstift . . . . . . . . . . . . . . . .
11
2.2.1
Vor der Wahl
11
2.2.2
Während der Wahl
. . . . . . . . . . . . . . . . . . . . . . . . . .
11
2.2.3
Nach der Wahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DRE-Systeme mit und ohne VVPAT
13
Technische Funktionsweise
. . . . . . . . . . . . . . . . . . . . . . . . . .
14
3.1.1
Allgemeiner Aufbau
. . . . . . . . . . . . . . . . . . . . . . . . . .
14
3.1.2
Unterschiede bei DRE-Geräten mit VVPAT . . . . . . . . . . . . . .
14
Wahlablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
3.2.1
Vorbereitung der Wahl
. . . . . . . . . . . . . . . . . . . . . . . .
15
3.2.2
Ablauf für den Wähler . . . . . . . . . . . . . . . . . . . . . . . . .
15
3.2.3
Auswertung der Wahl
16
. . . . . . . . . . . . . . . . . . . . . . . . .
Vergleich und Konsequenzen
16
4.1
Wählerakzeptanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
4.2
Voter Veriable Paper Audit Trails
. . . . . . . . . . . . . . . . . . . . . .
18
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
4.3
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1
3.2
4
2
Das Wahlstiftsystem
2.1
3
2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sicherheit
4.3.1
Sicherheitszertizierung
4.3.2
Physische Manipulierbarkeit des Wahlsystems
. . . . . . . . . . . .
20
4.3.3
Elektronische Manipulierbarkeit . . . . . . . . . . . . . . . . . . . .
21
4.4
Bedienung
4.5
Kosten
4.6
. . . . . . . . . . . . . . . . . . . . . . . .
19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
Barrierefreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
rechtliche Aspekte
24
5.1
Das Öentlichkeitsprinzip
. . . . . . . . . . . . . . . . . . . . . . . . . . .
24
5.2
Die Wahlgeräteverordnung
5.3
. . . . . . . . . . . . . . . . . . . . . . . . . .
25
Bauartzulassung und Sicherheitszertizierung . . . . . . . . . . . . . . . . .
25
5.4
Diskrepanzen zwischen elektronischem und Papier-Ergebnis
26
Zusammenfassung und Fazit
Wahlmaschinen bei der Bundestagswahl 2009
. . . . . . . . .
26
1
1 Executive Summary
1.1 Kurzbeschreibung
Elektronische Wahlsysteme halten weltweit Einzug in die Wahlverfahren der westlich industrialisierten Staaten. Dominant sind dabei bisher sog. DRE-Wahlmaschinen (Direct Recording Electronic), die die Stimmen des Wählers entgegennehmen, auszählen und ausschlieÿlich in einem elektronischen Speicher vorhalten. Dies hat viele Kontroversen bzgl.
der Einhaltung geltender demokratischer Standards zur Folge.
Das digitale Wahlstiftsystem geht einen anderen Weg. Anstatt die Stimmen ausschlieÿlich elektronisch entgegen zu nehmen, wird mit einem sog. Digitalstift ein herkömmlicher
Papier-Stimmzettel ausgefüllt. Durch die Benutzung des Digitalstifts wird eine elektronische
Stimmabgabe realisiert und gleichzeitig liegen physische Stimmzettel vor, die im Zweifelsfall
als Referenz dienen können.
1.2 Empfehlungen
Die Analyse des Sachverhalts veranlasst uns folgende Empfehlungen zur möglichen Verwendung von Wahlmaschinen zur Bundestagswahl 2009 abzugeben:
•
Elektronische Wahlgerät bringen neue Risiken mit sich. Moderne Computersysteme,
wie sie DRE-Geräte darstellen, haben andere Sicherheitsrisiken als mechanische oder
elektromechanische Wahlgeräte. Deshalb empfehlen wir, die Bundeswahlgerätever-
zusätzliche Anforderungen an Wahlgeräte zu erweitern. Insbesondere ist
Sicherheitszertizierung durch das Bundesamt für Sicherheit in der Informationstechnik notwendig.
ordnung um
eine
•
Das Fehlen von physisch vorhandenen Stimmzetteln bei DRE-Maschinen führt zu
nachträglich nicht überprüfbaren Wahlergebnissen. Wahlmaschinen sollten zusätzlich
papierbasierte Stimmzettel ausgeben oder unterstützen, um eine nachträgliche Auszählbarkeit der Stimmen zu garantieren.
•
Die DRE-Wahlgeräte der Marken Diebold und Nedap sind, wie von internationalen
Expertenteams gezeigt wurde, mit zahlreichen Sicherheitsmängeln belastet. Wir raten
deshalb von einer Verwendung dieser Geräte ab.
•
Das Wahlstiftsystem kombiniert die Vorteile der elektronischen und der Papierwahl.
Der Wähler muss sich bei der Benutzung nicht umstellen und die Ergebnisse sind
jederzeit nachprüfbar. Wir empfehlen deshalb den Einsatz des Wahlstiftsystems bei
zukünftigen Bundestagswahlen.
2
2 Das Wahlstiftsystem
Die Idee hinter dem digitalen Wahlstiftsystems ist einfach und eektiv. Das Wahlstiftsystem verzichtet auf die Einführung von neuen, groÿen Geräten und lässt den Wähler wie
bisher Papierstimmzettel ausfüllen. Durch die Verwendung eines speziellen Digitalstifts liegen die Stimmzettel anschlieÿend nicht nur analog auf Papier, sondern auch digital in einer
elektronischen Wahlurne vor. Die gesamte Technik dafür setzt sich zusammen aus dem
zigarrengroÿen Stift der die Position auf dem Wahlzettel durch eine spezielle Rasterung
auf dem Papier erkennt und der Wahlsoftware auf einem PC, der elektronischen Wahlurne,
welche die rechnergesteuerte Auszählung ermöglicht.
2.1 Technische Funktionsweise
Das Wahlstiftsystem wurde erstmals am 25. November 2004 durch die Allpen Gesellschaft
für Systementwicklung mbH vorgestellt. Das System wird in Zusammenarbeit mit der Nokia GmbH und der Lufthansa Systems AG entwickelt. In dieser Partnerschaft stellt Nokia
den Digitalstift SU-1B mit den dazugehörigen Dockingstations, Lufthansa Systems AG die
Treiber- und Wahlsoftware. Die Allpen GmbH übernimmt die Konguration der Stationen
und der Firmware der Digitalstifte.
Die folgenden Abschnitte beschreiben die Funktionsweise und technischen Details des hier
vorgestellten Wahlstiftsystems.
2.1.1 Das Digitalstift-Verfahren
Zentraler Bestandteil des Wahlstiftsystems ist der Digitalstift. Der Digitalstift hat annähernd die Form eines herkömmlichen Kugelschreibers, enthält allerdings einige technische
Komponenten. Diese werden im Folgenden beschrieben (siehe dazu Abbildung 1).
[1] Anoto-Raster
Das Papier auf dem geschrieben wird, weist ein besonderes Punkte-Raster auf das sog.
Anoto-Raster. Dieses Raster wurde von der schwedischen Firma Anoto entwickelt und wird
mit kohlenstohaltiger Tinte auf die Stimmzettel gedruckt. Die winzigen Punkte mit einem
Durchmesser von 0,15mm sind nur schwach als hellgraue Hintergrundfärbung wahrnehmbar.
Jeweils 6x6 dieser Punkte ergeben eine eindeutige Koordinate und ermöglichen es, die
genaue Position des Stiftes auf dem Papier zu bestimmen (siehe Portal Systems).
Das Layout des Wahlzettels wird mit nicht-kohlenstohaltiger Tinte über das Raster gedruckt. Die Infrarot-Kamera im Digitalstift kann so das kohlenstohaltige Raster darunter
immer noch störungsfrei erkennen.
3
Abbildung 1: Technische Details des Verfahrens
[2] Kamera und Kugelschreibermine
Der von Nokia entwickelte Digitalstift ist mit einer handelsüblichen Mine für Kugelschreiber
ausgestattet. Diese kann bei Bedarf leicht ausgewechselt werden.
Direkt neben der Mine bendet sich eine Kamera, mit der das Geschriebene gescannt wird.
Wenn Druck auf die Mine ausgeübt wird sendet das elektronische Auge Infrarotstrahlen
aus. Die Strahlen werden vom Anoto-Muster reektiert. Die Kamera nimmt die Reexion
auf und kann damit die genaue Position des Stiftes auf dem Papier berechnen. Mit einer Abtastrate von 70 Bildern pro Sekunde kann Handschrift detailgetreu wiedergegeben
werden.
[3] Drucksensor
Mit einem Sensor neben der Mine kann der Druck festgestellt werden, der beim Schreiben
ausgeübt wird. Später können am Bildschirm durch die Eigenschaften der Druckausübung
dünne und kräftigere Linien nachgebildet werden.
[4] Speicher und Prozessor
Im Speicher werden die Informationen Druck und Position zu bestimmten Zeitpunkten
abgelegt. Der Nokia SU-1B kann ca. 100 beschriebene DIN-A5 Seiten abspeichern. Der
Prozessor kontrolliert die Kommunikation mit der Dockingstation und wird mit einer speziell
für den Wahlstift angepassten Firmware betrieben.
4
[5] Übertragungseinheit
Im oberen Teil des Stiftes ist ein Sender für die Datenübertragung per Funk integriert.
Der ursprünglich für den Handy-Nutzer konzipierte Stift SU-1B von Nokia wurde damit
ausgestattet, um auf dem Stift bendliche Daten via Bluetooth an das Mobiltelefon zu
übertragen, damit diese sofort weiter versendet werden können. Bei der Konzeption des
Wahlstiftsystems wurde die Funkübertragung der Daten jedoch ausgeschlossen, da sie ein
zu hohes Sicherheitsrisiko birgt. Deshalb wurde die
als Wahlstift deaktiviert.
Funkübertragungseinheit für den Einsatz
Die Übertragung erfolgt an einer Entladestation über eine USB
2.0 Schnittstelle.
Exkurs: USB
Das universelle Leitungssystem USB (Universal Serial Bus) ist ein serielles Bussystem. Mit USB ausgestattete Geräte können im laufenden Betrieb miteinander verbunden werden (Hot-Plugging). Die USB-Schnittstelle mit achen, quadratischen
oder kompakteren Steckvarianten, bei geringerem Platzangebot, übernimmt für
Geräte mit geringem Verbrauch die Stromversorgung. USB ist zu einer Standardschnittstelle geworden mit der jeder handelsübliche Rechner ausgestattet ist.
[6] Batterie
Der Stift wird mit einem Akku betrieben, der bei vollem Einsatz bis zu 2 Stunden hält.
Eine rote LED signalisiert den leeren Ladezustand. Der Akku muss nicht ausgetauscht
werden, sondern kann an einer zum Stift gehörenden Dockingstation aufgeladen werden.
Die Dockingstation selbst wird über den USB Anschluss mit Strom versorgt.
2.1.2 Der Digitalstift
Der Wahlstift ist ein modizierter Digitalstift vom Typ Nokia SU-1B. Für den Einsatz im
Wahlstiftsystem wird das Serienmodell mit einer neuen, angepassten Firmware ausgestattet.
5
Abbildung 2: Digitalstift SU-1B von Nokia mit Dockingstation
Bezeichnung
Nokia SU-1B
Standby-Zeit
10 Stunden
Schreibzeit
> 2 Stunden
Auadezeit
ca. 2.5 Stunden
Batterie
wiederauadbarer Lithium-Ionen-Akku
Betriebstemperatur
0
Gewicht
35 Gramm
Speicher
1MB (100 Seiten DIN A5)
Abmessungen
153 x 19 x 17mm (ohne Verschlusskappe)
◦
- 40
◦
157 x 21 x 18mm (mit Verschlusskappe)
wasserdicht
Nein
Garantie
3 Jahre bei sachgemäÿer Benutzung
Datenblatt Nokia SU-1B
Angaben beruhend auf Benutzerhandbuch für den Nokia Digitalstift
(SU-1B) (siehe Nokia Group, 2003).
6
2.1.3 Die Wahlsoftware
Die Software für das Wahlsystem hat die Aufgabe unter Wahrung des Wahlgeheimnisses
und der Anonymität des Wählers die Daten aus dem Stift zu lesen und diese aufzubereiten.
Die gesetzten Kreuze müssen erkannt und Stimmzettel gegebenenfalls für ungültig erklärt
werden. Im Folgenden werden die einzelnen Funktionskomponenten der Wahlsoftware erläutert.
Datenübertragung
Die Daten werden mit einer Treibersoftware von der Dockingstation auf den Rechner übertragen, auf welchem die Wahlsoftware installiert ist. Dort werden sie unbearbeitet als rohe
Daten abgespeichert. Die Aufbereitung ndet erst nach der Wahl statt, wenn der Wahlvorstand die Auswertung am Rechner vornimmt.
Die getrennte Übertragung und Auswertung der Stimmzettel wurde gewählt um Datenverluste durch mögliche Fehler in der Auswertung zu verhindern. Ein Abbruch des Übertragungsund Speichervorgangs durch einen Fehler bei der Bedienung oder im Auswertungsprogramm
wird somit ausgeschlossen.
Der Vorgang der Datenübertragung auf den Wahlcomputer entspricht der Abgabe der Stimme in eine elektronische Wahlurne. Bei diesem Vorgang werden die Stimmen ungeordnet auf
vorhandenen Speicherplätzen abgelegt. Eine spätere Zuordnung der Stimmen zu einzelnen
Wählern ist nicht möglich. Dadurch wird das Wahlgeheimnis geschützt.
Kreuzerkennung
In der Wahlsoftware sind die Kriterien für die Kreuzerkennung verankert. Vereinfacht kann
man sagen, dass ein Kreuz als zwei sich überschneidende Geraden mit einem bestimmten
maximalen und minimalen Schnittwinkel deniert ist. Im Vorfeld der ersten Testwahl in
◦
◦
Hamburg wurde ein Schnittwinkelbereich von 20 -60 deniert. Die Auswertung hat ergeben,
dass ein gröÿerer Schnittwinkelbereich sinnvoll ist und so wurde bei der zweiten Studie in
◦
◦
Mainz ein Schnittwinkelbereich von 15 -75 verwendet, wodurch sich die Anzahl der als
noch zu prüfende Stimmen signikant reduziert hat. Die Teststudie in Mainz (siehe Stadt
Mainz, 2006, Kap. 5.5.1) ergab trotzdem, dass es nötig ist, diese Kriterien zu verfeinern
um Arbeit für den Wahlvorstand in der Auswertung zu ersparen.
7
Exkurs: Kreuzerkennung
Die genaue Denition eines Kreuzes ist in der Wahlsoftware wie folgt formuliert:
•
zwei geschlossene Linienzüge innerhalb der denierten Bereiche der
Rasterung (Markierung)
•
die Länge der Linienzüge umfasst mindesten 50% bzw. höchstens 150% des Kreisradius
•
die Linienzüge müssen durch zwei Geraden interpoliert werden können (mit kleinem
Varianzwert (Summe der Abstandsquadrate der Messpunkte zu Gerade))
•
Schnittwinkel der Geraden liegt zwischen 15 und 75 Grad
•
keine zusätzlichen Linienzüge innerhalb oder auÿerhalb der Markierung
•
erfasst wurden zusätzlich auch Kreuze aus einem Strich, wo beim Schreiben der Stift
zwischen den beiden Linienzügen nicht angehoben wird (Sanduhren-Kreuze).
(siehe Stadt Mainz, 2006, Abschnitt 5.5.1)
Auswertung
Mit der Auswertung durch die Wahlsoftware werden die Stimmen in ungeordneter und nicht
nachvollziehbarer Reihenfolge in drei verschiedene Kategorien eingeordnet:
•
gültige Seiten
•
ungültige Seiten
•
zu überprüfende Seiten
Die gültigen und ungültigen Seiten wurden vom Programm als solche nach festen Regeln
direkt erkannt. Hierbei ist anzumerken, dass das Programm generell zwischen der Ungültigkeit einer Erststimme und der einer Zweitstimme unterscheidet, denn ein Wähler könnte
auf Seiten der Erststimme zwei Kreuze gesetzt haben, wodurch der Direktkandidat nicht
eindeutig bestimmt ist und die Erststimme verfallen lässt. Die Zweitstimme kann aber
durchaus gültig abgegeben sein.
Die Stimmzettel liegen in diesen Ordnern als TIFF- und XML-Dateien vor.
Die gültigen und ungültigen Seiten werden von der Software markiert. Gültige Felder werden grün umrandet, ungültige Felder gelb. Die vom Wahlvorstand nachträglich für gültig
erklärten Stimmzettel aus dem Ordner zu prüfende Seiten werden hellgrün umrandet.
Wenn die zu prüfenden Seiten vom Wahlvorstand abgearbeitet wurden, können die Daten im
XML-Format weitergegeben werden um das Gesamtergebnis der Bundesrepublik berechnen
8
zu lassen. Das Ergebnis des Wahllokals wird für den Wahlvorstand in einer übersichtlichen
Statistik auf dem Bildschirm sichtbar gemacht.
Exkurs: TIF
TIFF- oder auch TIF-Dateien (Tagged Image File Format, Dateiendung .tif ) ist ein standardisiertes Dateiformat zur Speicherung von Bilddaten. Die Bilder werden verlustfrei komprimiert und sind daher von hochaufgelöster und druckfähiger Qualität.
Exkurs: XML
XML (eXtended Markup Language, Dateiendung .xml) ist ein geeignetes Format für den
Austausch von Daten mit anschlieÿender automatisierter Datenverarbeitung. Ähnlich eines
Datenbanksystems, aber auf reiner Text-Basis, werden Informationen in einer XML-Datei
als Entitäten aufgefasst und in atomaren Einheiten abgespeichert. Die Struktur der Daten
wird in einer DTD (Document Type Denition) deniert. XML hat sich zu einem Standard
für austauschbare Datenformate entwickelt und liegt beim World Wide Web Consortium
als oene Spezikation vor.
Abgrenzung
Für die Überbringung der Wahlergebnisse an die kommunale Datenzentrale bzw. die Datenzentrale auf Bundesebene wären neben den bereits verwendeten Kommunikationswegen
auch das Internet oder Wide Area Network der Verwaltungsbehörden, die Überbringung mit
USB-Stick oder anderen Datenträgern denkbar.
Eine solche Komponente ist noch nicht Teil des Systems. Eine Sicherheits- und Machbarkeitsanalyse ist auch nicht Bestandteil dieses Gutachtens, kann aber nach Auftragserteilung
erfolgen. Ein weiterer oener Punkt, der bei einer zentralen Datenerfassungssoftware zu
betrachten ist, ist eine Software die auf Bundesebene die Plausibilität der Daten prüft.
Sicherzustellen ist zum Beispiel, dass in einem bestimmten Wahlkreis nicht mehr Stimmen
abgegeben wurden als Wähler registriert sind. Solche und ähnliche Prüfungen können die
Korrektheit einer Wahl zusätzlich unterstützen.
2.1.4 Drei-Dockingstations-Verfahren
Bei den Testwahlen in Mainz (siehe Stadt Mainz, 2006) und Hamburg (siehe Landeswahlleiter Freie Hansestadt Hamburg, 2005) wurde bisher nur eine Dockingstation für die
Datenübertragung verwendet. In nächsten Entwicklungsstufen des Systems, die in Hinblick
auf die Bundestagswahl 2009 entwickelt werden, wird das Drei-Dockingstations-Verfahren
umgesetzt um den Wahlablauf transparenter zu machen und Fehlverhalten der Wähler und
des Wahlvorstands zu minimieren. In diesem Verfahren werden die einzelnen Bedienungsschritte, die beim digitalen Wahlstiftsystem nötig sind, auf drei getrennte Dockingstations
verteilt. Diese Dockingstations übernehmen folgende Aufgaben:
9
Dockingstation 1 - AKTIVIERUNG:
Diese Station bendet sich auf dem Tisch der Wahlzettelausgabe. Meist bendet sich dieser
am Eingang des Wahllokals. Hier wird die Funktionsfähigkeit des Stiftes überprüft, der Stift
wird initialisiert und freigeschaltet. In diesem Zustand bekommt der eintretende Wähler den
Stift und Papierstimmzettel erstmalig ausgehändigt.
Dockingstation 2 - DEAKTIVIERUNG:
Die zweite Station bendet sich an der Urne für die Papierstimmzettel, denn hier werden die
Daten an die elektronische Wahlurne übertragen. Diese Station ist über USB 2.0 mit dem
Wahl-PC verbunden. Eine spezielle Treibersoftware speist die Daten aus dem Stift in das
auf dem Rechner bendliche Wahlprogramm ein. Nach erfolgreicher Übertragung werden
die Daten gelöscht und der Stift gesperrt.
Die Übertragung kann auf einem Bildschirm als Geschwindigkeit-Zeit-Balken visualisiert
oder mit reinen akustischen und optischen Signalen wahrnehmbar gemacht werden. Bei
den durchgeführten Testwahlen war ein Bildschirm am Wahlcomputer angeschlossen. Dieser
wirkte jedoch irritierend auf die Wähler und es wurde nachgefragt, ob die abgegebene
Stimme eingesehen werden könne. Deswegen sollte bei Einsatz eines Bildschirms, dieser
immer zu den Wählern gerichtet sein.
Dockingstation 3 - ANNULIERUNG:
Will der Wähler seine Stimme revidieren, wird der Stift an dieser Dockingstation zurückgesetzt und gesperrt. Gleichzeitig muss der Papierstimmzettel vernichtet werden. An der
Station 1 kommt es wieder zur Aktivierung und zur erneuten Aushändigung.
Die Stationen sind physisch voneinander getrennt und an anderen Orten im Wahllokal aufgestellt. Dort lassen sie sich ohne Schwierigkeiten in den bekannten Wahlablauf eingliedern.
Im Commons Criteria Schutzprol zum digitalen Wahlstiftsystem schreiben Volkamer u.
Vogt:
Das Modell
Drei Dockingstationen` erfüllt folgendes Prinzip: Die Stimmen
eines Wählers sind nur während
seines` Wahlvorgangs auf dem Stift gespei-
chert, d.h. nur solange dieser Wähler die Kontrolle über den Stift hat. Sonst
ist der Stift leer und die Stimmaufzeichnung ist gesperrt. (siehe Volkamer u.
Vogt, 2006, Kap. 2.1.1)
Das Drei-Dockingstations-Verfahren erhöht die Transparenz des Wahlvorgangs für Wähler
und Wahlvorstand.
10
2.2 Ablauf einer Wahl mit dem Digitalen Wahlstift
Der Ablauf einer Wahl mit dem digitalen Wahlstift wurde bereits in zwei Testwahlen erprobt. In der Hansestadt Hamburg wurde parallel zur Bundestagswahl 2005 eine Pilotstudie
durchgeführt (siehe dazu Landeswahlleiter Freie Hansestadt Hamburg, 2005). Bei dieser
Pilotstudie nahmen in zwei Wahllokalen insgesamt 677 Testwähler teil. Eine ähnliche Studie wurde zur Landtagswahl 2006 in Mainz durchgeführt. Hier beteiligten sich in einem
Testwahllokal 521 Personen (siehe dazu Stadt Mainz, 2006).
Aus diesen Studien konnten wertvolle Erfahrungen gesammelt werden, die in die Entwicklung des Wahlstiftsystems eingeossen sind. Im Folgenden soll der Ablauf einer Wahl, wie
sie im realen Fall durchgeführt würde, geschildert werden.
2.2.1 Vor der Wahl
Trotz der hohen Bedienerfreundlichkeit des digitalen Wahlstiftsystems müssen die Bürger im
Vorfeld der Wahl informiert werden, dass eine digitale unterstützte Wahl stattndet. Dies
kann durch Berichterstattung in Presse, Rundfunk und Fernsehen erfolgen, sowie einem
Infoblatt, das neben der Wahlberechtigungskarte per Post zugesendet wird. Zusätzlich sollte
direkt in den Wahllokalen eine Ablaufskizze angebracht werden. Die Ergebnisse aus den
Studien in Hamburg und Mainz haben gezeigt, dass dadurch eine hohe Wählerakzeptanz
erreicht wird.
Um den Wählern bei Fragen zu der neuen Technik zur Seite zu stehen, muss der Wahlvorstand geschult werden. Das Kennenlernen des Wahlablaufs, das Prüfen des Wahlstiftes auf
Funktionsfähigkeit und die Bedienung der Wahlsoftware kann parallel zu den Einführungsveranstaltungen der Wahlhelfer geschehen.
2.2.2 Während der Wahl
Wie bei einer gewöhnlichen Wahl muss zuerst die Wahlberechtigung festgestellt werden.
Die Wahllokale önen um 8 Uhr. Beisitzer des Wahlvorstandes kontrollieren die Wahlbenachrichtigungskarte und den Personalausweis, woraufhin die Person vom Schriftführer im
Wählerverzeichnis vermerkt werden kann. Erst dann erhält der Wähler den Wahlstift.
Der Wahlvorgang:
1. Der Wähler erhält einen Stimmzettel und den digitalen Wahlstift am Tisch des Wahlvorstandes.
2. Der Stimmzettel wird vom Wähler in einer Wahlkabine ausgefüllt.
3. Der Wähler steckt den Wahlstift in die Dockingstation und wirft seinen gefalteten
Stimmzettel in die nebenstehende Wahlurne ein.
11
4. Von der Station aus werden die Daten an die elektronische Wahlurne übertragen. Nach
erfolgreicher Übertragung wird der Stift entleert und gesperrt. In diesem Zustand steht
er für den nächsten Wahldurchgang bereit.
5. Der Wahlvorgang ist abgeschlossen, der Wähler verlässt das Wahllokal.
Sonderfälle
Wie bei einer herkömmlichen Wahl, kann es immer zu Störungen des Wahlablaufs kommen. Im Folgenden sollen Sonderfälle betrachtet werden, die beim Einsatz des digitalen
Wahlstiftsystems auftreten können.
Der Akku des Wahlstifts ist leer
Unter den gegebenen Umständen einer Wahl, sollte
ein erneutes Laden der Wahlstifte nicht notwendig werden. Ist, wider erwarten, ein Wahlstift
leer, wird dies vom Wahlvorstand bei der Ausgabe oder Entgegennahme des Stiftes bemerkt.
Im Wahllokal muss eine ausreichende Anzahl zusätzlicher Ersatzwahlstifte vorliegen, die
zum Austausch dienen. Hat der Wähler bereits einen Stimmzettel ausgefüllt und kann seine
elektronische Stimme nicht mehr entgegengenommen werden, so muss die Stimmabgabe
wiederholt werden.
Der Tintenvorrat des Wahlstiftes ist leer
Aus dem vorgestellten Stift-System, das
unter anderem auf Druckerfassung beruht, ist abzuleiten, dass ein Stift mit defekter Mine
zwar keine Spuren auf dem eigentlichen Wahlzettel hinterlässt aber auf dem digitalen Abbild,
denn der Drucksensor hat einen normalen Schreibvorgang festgestellt.
Es ist davon auszugehen, dass der Defekt einem Wahlleiter gemeldet wird. Dieser kann
umgehend die Mine austauschen, händigt dem Wähler einen neuen Zettel aus und resetet
den Stift, um zu vermeiden, dass mit dem unsichtbaren digitalen Abbild eine Stimmabgabe
verfälscht wird.
Der Stift wurde in der Wahlkabine nicht benutzt und ist bei der Abgabe leer
Um
das Wahlgeheimnis zu wahren, muss sich die Software bei der Abgabe der elektronischen
Stimme immer exakt gleich verhalten. Dies impliziert, dass ein leerer Wahlstift genau so lang
zum entladen braucht wie ein korrekt benutzter Wahlstift. In der elektronischen Wahlurne
wird ein leerer Stimmzettel abgelegt.
Andere technische Störungen
Bei Störungen, die nicht durch die vorgeschriebenen und
implementierten Sicherheitsmaÿnahmen ausgeglichen werden können, kann immer auf die
Mittel einer üblichen Papierwahl zurückgegrien werden. Die Stimmzettel können ungeändert weiter genutzt werden.
Zur allgemeinen Erhöhung der Ausfallsicherheit, muss in jedem Wahllokal eine ausreichende
Zahl an Ersatzstiften vorliegen. Diese können gegebenenfalls als Austauschgeräte dienen.
12
Unterschiede zum herkömmlichen Wahlverfahren
Der Wahlstift unterscheidet sich bis auf seine technischen Komponenten nicht vom handelsüblichen Kugelschreiber.
Aus der Sicht des Wahlvorstandes ergibt sich bei Schritt 4 ein Unterschied in den Arbeitsabläufen. Der Wahlvorstand beobachtet nunmehr nicht nur das Einwerfen des Zettels in
die Urne, damit der Wähler im Wählerverzeichnis als Teilnehmer registriert werden kann,
sondern überwacht zudem die Übermittlung der Daten an den Rechner.
Für den Wähler unterscheidet sich der Wahlvorgang mit dem digitalen Wahlstift von der
traditionellen Papierwahl mit Kugelschreiber nur wenig.
2.2.3 Nach der Wahl
Nach Beendigung der eigentlichen Wahl in einem Wahllokal um 18 Uhr, hat der Wahlvorstand die Aufgabe das Ergebnis zusammenzustellen. Um die Wahlsoftware bedienen zu
können, ist ein Monitor am Wahlrechner notwendig. Am Bildschirm sieht der Wahlvorstand
die digitalisierten Stimmzettel eingeteilt in die Ordner:
•
gültige Seiten
•
ungültige Seiten
•
zu überprüfende Seiten
Der Wahlvorstand muss nun die zu prüfenden Seiten betrachten und entscheiden, ob die
Stimmen gültig oder ungültig sind. Dies entspricht dem Verfahren zur Entscheidung bei
strittigen Wahlzetteln in rein papierbasierten Auszählungen. Ist die Aufgabe erledigt, kann
auf Knopfdruck die Auswertung für das Lokal aufgerufen werden und am Bildschirm erscheint die Statistik zu den führenden Parteien und Direktkandidaten. Es ist zu erwarten,
dass die Prüfung der Seiten binnen einer Stunde abgeschlossen ist, so dass für alle Wahllokale ein sicheres Ergebnis um 19 Uhr vorliegt. Dann können die Daten versendet werden,
um das Gesamtergebnis der Bundestagswahl an anderer Stelle berechnen zu lassen.
3 DRE-Systeme mit und ohne VVPAT
Um einen Vergleich des Wahlstiftsystems mit den üblichen DRE-Systemen zu ermöglichen
und zu erleichtern soll in diesem Abschnitt die Funktionsweise dieser Maschinen allgemein
beschrieben werden.
Zuerst werden die technischen Details erklärt, dann ein Wahlablauf geschildert.
Natürlich ist es nicht möglich jeden einzelnen Typ dieser Maschinen zu beschreiben. Daher
handelt es sich um eine Verallgemeinerung und Zusammenfassung der wichtigsten Merkmale.
13
3.1 Technische Funktionsweise
DRE-Wahlmaschinen werden von verschiedenen Herstellern entwickelt und produziert. Die
Modelle sind sich im Funktionsprinzip ähnlich und haben einen vergleichbaren Aufbau.
Im Nachfolgenden soll dieser allgemeine Aufbau erläutert werden.
3.1.1 Allgemeiner Aufbau
Meist handelt es sich um etwa aktentaschengroÿe Geräte, die zum Gebrauch geönet und
auseinander geklappt werden.
Im aufgeklappten Zustand wird der für den Wähler wichtigste Teil sichtbar. Es ist entweder
ein Touchscreen oder eine Anzahl von Tasten über die der Wähler seine Stimme eingeben
muss. Im Folgenden wird immer von Tasten gesprochen. Es existiert ebenfalls immer eine
Möglichkeit eine ungültige Stimme abzugeben. Handelt es sich bei der Eingabeeinheit um
ein Tastenfeld existiert zusätzlich ein Display an dem die vom Wähler getätigte Eingabe
angezeigt werden kann.
Zusätzlich zu den vom Wähler zu bedienenden Eingabemöglichkeiten gibt es Tasten, oder
etwas Entsprechendes, mit dem die Auswertung der Wahl vom Wahlvorstand am Gerät
vorgenommen werden kann.
Des Weiteren gibt es eine geeignete Vorrichtung mit welcher der Wahlvorstand den Zustand
der Maschinen steuern kann. Bei den Geräten der Firma Nedap ist dies ein zusätzliches
Steuergerät, welches über ein Kabel mit dem Wahlgerät verbunden wird. Bei den Diebold AccuVote-TS Wahlgeräten wird der Zustand der Maschine mit Hilfe einer besonderen
Zugangs-SmartCard direkt über den Touchscreen gesteuert.
Es können die Zustände Wahl und Auswertung, sowie während der Wahl gesperrt und
entsperrt unterschieden werden. Für die Auswertung der Wahl existiert auch noch an
jedem Gerät ein Drucker für die Ausgabe des Ergebnisses.
Die Funktion der Geräte wird über die auf einem Speicher bendliche Software gesteuert.
Auf einem weiteren Speichermodul werden die für jede Wahl neuen Stimmzettel und damit
die Zuordnung der Tasten zu den Kandidaten und Listen, in die Maschine eingespeist. Auf
diesem werden auch die Stimmen redundant und zufällig abgespeichert.
3.1.2 Unterschiede bei DRE-Geräten mit VVPAT
Geräte, die auch einen Voter Verifable Paper Audit Trail
(VVPAT) (siehe dazu auch
Abschnitt 4.2) umsetzen, haben zusätzlich zu den im vorherigen Abschnitt beschriebenen
Teilen, noch diese weiteren:
14
•
Einen Drucker für die Ausgabe der vom Wähler getätigten Eingabe
•
Ein Fenster, hinter dem der Papierausdruck dem Wähler präsentiert wird
•
Eine verschlossene Wahlurne, in der die Ausdrucke gesammelt werden
3.2 Wahlablauf
Auch der Ablauf der Wahlvorbereitung, des Wahlganges selbst und der Auswertung der
Wahl sind sich bei allen Modellen ähnlich.
Nur die Maschinen mit einem Paper Trail haben einen etwas abweichenden Ablauf. Die
folgenden Abschnitte beschreiben, wie eine Wahl mit DRE-Maschinen abläuft.
3.2.1 Vorbereitung der Wahl
Der Wahlvorstand erhält alle für sein Wahllokal nötigen Geräte, sowie deren Anleitungen.
Nach der Anleitung werden die für den jeweiligen Typ vorgesehenen Schritte zur Überprüfung der Funktionstüchtigkeit und der Sicherheit vorgenommen.
So werden etwa die Gerätenummern und die Baugleichheitserklärung untersucht, das Speichermodul daraufhin geprüft, dass es keine Stimmen enthält und der Drucker getestet.
Handelt es sich um eine Maschine mit VVPAT wird natürlich auch der Drucker für die vom
Wähler zu prüfenden Papierabschnitte getestet.
Dann werden die Maschinen über die Steuergeräte in den Zustand Wahl gestellt und das
Wahllokal geönet.
3.2.2 Ablauf für den Wähler
Wie auch bei der Papierwahl üblich wird zuerst die Wahlberechtigung des Wählers geprüft.
Dann erhält er allerdings nicht wie üblich einen Stimmzettel, sondern vom Wahlhelfer eine
Freigabe für die Wahlmaschine.
Der Wähler tritt daraufhin an die Wahlmaschine heran und gibt über die Tasten seine Wahl
ein. Zur Kontrolle wird die von ihm getroene Wahl mit Hilfe eines Displays oder dem
Touchscreen noch einmal angezeigt. Er kann sie dann bestätigen oder zurücksetzen um
seine Entscheidung zu ändern. Natürlich gibt es auch eine Taste, über die das Abgeben
einer ungültigen Stimme möglich ist. Nachdem der Wähler seine Stimmabgabe bestätigt
hat, wird seine Stimme in einem Speichermodul abgelegt. Bei einer DRE-Maschine mit
VVPAT steht vor dem endgültigen Bestätigen noch ein weiterer Schritt. Auf einem Zettel,
der dem Wähler hinter einer Glasscheibe präsentiert wird, ist die vom Wähler getroene
Entscheidung aufgedruckt. Der Wähler soll diesen Zettel überprüfen und daran das richtige
Aufnehmen seiner Stimme erkennen. Er hat die Möglichkeit den Zettel zu entwerten und
seine Eingabe zu wiederholen. Bestätigt der Wähler den Zettel, so landet dieser in der
geschlossenen Urne.
15
Nach der Stimmabgabe vermerkt der Wahlhelfer im Wählerverzeichnis, das diese stattgefunden hat und sperrt das Wahlgerät wieder, bis der nächste Wähler kommt um seine
Stimme abzugeben.
3.2.3 Auswertung der Wahl
Nach dem Schlieÿen der Wahllokale werden die Wahlmaschinen über ihre Steuergeräte in
den Zustand Auswertung gestellt. Über die Funktionstasten lässt der Wahlvorstand dann
an jeder Maschine das jeweilige Ergebnis, mithilfe der integrierten Drucker, ausdrucken.
Diese Ergebnisse werden mit der Anzahl der abgegebenen Stimmen verglichen und in die
Wahlniederschrift aufgenommen.
Sollte es Schwierigkeiten mit einem Drucker geben, gibt es eine Möglichkeit das Ergebnis
auf dem Display oder Touchscreen anzuzeigen, oder das Speichermodul in eine Maschine
mit funktionsfähigem Drucker zu stecken und dort das Ergebnis auszudrucken.
Zuletzt werden die Speichermodule entnommen und versiegelt. Bei einer Maschine mit
VVPAT wird auÿerdem noch die Urne versiegelt und zusammen mit den Speichermodulen
an die für die Aufbewahrung zuständige Stelle geliefert und dort für eine mögliche spätere
Überprüfung aufbewahrt.
4 Vergleich und Konsequenzen
In diesem Kapitel sollen das Wahlstiftsystem und DRE-Wahlgeräte mit und ohne VVPAT
gegenüber gestellt werden. Aufgrund der elektronischen Natur von Wahlsystemen sind viele
Aspekte gleich oder identisch. Wir wollen hier vorrangig auf die sich unterscheidenden
Merkmale eingehen.
Zentrales Ziel eines Wahlvorganges ist es, ein korrektes Wahlergebnis zu erzielen. Das Wahlverfahren muss dabei den Prinzipien einer freien, allgemeinen, gleichen und geheimen Wahl
genügen. Des Weiteren muss das Wahlverfahren robust gegenüber Beeinussungsversuchen sein um auch unter schwierigen politischen Bedingungen ein korrektes Wahlergebnis
zu garantieren.
4.1 Wählerakzeptanz
Wichtigstes und komplexestes Vergleichskriterium für Wahlsysteme ist die Wählerakzeptanz. Eine geringe Akzeptanz eines Wahlsystems könnte zu einem Vertrauensverlust der
Wähler in die demokratischen Grundlagen ihres Staates und zu einem Rückgang der Wahlbeteiligung führen.
Die Wählerakzeptanz selbst wird natürlich von allen nachfolgenden Faktoren beeinusst
und stellt selbst eine statistisch ermittelbare Gröÿe dar.
16
Die Pilotstudien in Hamburg und Mainz haben gezeigt, dass das Wahlstiftsystem eine hohes
Maÿ an Akzeptanz erzeugt.
Bei der begleitend zum Wahlstift-Pilotprojekt in Hamburg durchgeführten Umfrage stellte
sich heraus:
•
Mehr als 99 Prozent der Testwählerinnen und -wähler empnden die Handhabung des
Digitalen Wahlstifts als einfach [. . . ] (Statistisches Amt für Hamburg und SchleswigHolstein, 2005, S.4)
•
Gut drei Viertel [78%] der Befragten fühlen sich ausreichend über den Digitalen
Wahlstift informiert [. . . ] (Statistisches Amt für Hamburg und Schleswig-Holstein,
2005, S.6)
•
61 % der Testwähler glauben, dass die Stimmen mit dem digitalen Stift zuverlässig
erfasst und ausgezählt werden (vgl. Statistisches Amt für Hamburg und SchleswigHolstein, 2005, S.5 Tabelle 1).
•
84 % der Befragten befürworten, dass das Wahlverfahren mit dem Digitalen Wahlstift
bei der nächsten Bürgerschaftswahl in ganz Hamburg eingeführt wird (vgl. Statistisches Amt für Hamburg und Schleswig-Holstein, 2005, S.7).
Die Umfrage zum gleichen System im Rahmen der Landtagswahl 2006 in Mainz ergab:
99% empfanden die Handhabung des digitalen Stiftes einfach
76% der Befragten fühlten sich ausreichend über das Verfahren mit dem digitalen Stift informiert
77% der Testwähler glauben, dass die Stimmen mit dem digitalen Stift zuverlässig erfasst und ausgezählt werden
71% der Befragten stehen einem möglichen Einsatz des digitalen Siftes in der
Zukunft positiv gegenüber. (Stadt Mainz, 2006, S.11)
Der Wahlstift erhält also durchgehend gute Noten. Eine Studie der University of Maryland
mit Diebold AccuVote-TS Wahlmaschinen (siehe Herrnson u. Bederson, 2003) hat hingegen
folgendes gezeigt:
Seven percent of voters felt that the touch screen voting machine was not easy
to use, compared to 93 percent who felt it was easy to use or held a neutral
opinion.
7% der Wähler beurteilten die verwendete Diebold AccuVote-TS nicht als einfach zu bedienen.
In Deutschland wurden bei der Wahl zum vierzehnten Landtag in Rheinland-Pfalz am
25.03.2001 in einigen Wahlkreisen bereits Wahlgeräte der Firma Nedap eingesetzt.
Die Universität Koblenz-Landau führte eine Studie im Auftrag des rheinland-pfälzischen Ministerium des Innern und für Sport durch um die Akzeptanz der Maschinen durch die Wähler
zu beurteilen. Den Nedap Geräten wurde eine durchgehend hohe Akzeptanz bescheinigt.
Auf die Frage, ob die Bedienung der Geräte als einfach empfunden wurde, antworte jedoch
1,5% der Wähler negativ (siehe Prof. Dr. Sarcinelli u. Thomsen, 2001, S. 21 Tabelle 6).
17
Fraglich bleibt, ob diese Akzeptanzwerte erhalten bleiben. Nach Bekanntwerden von Bedeutenden Sicherheitsmängeln ist die Fachpresse für das Thema sensibilisiert und es beginnt
ein Aufklärungsprozess in der Bevölkerung. Die bekannte Fachzeitschrift c't aus dem Heise Verlag, hat seit 2002 in 14 Artikeln das Thema e-Voting und Nedap Wahlmaschinen
kritisch beleuchtet (siehe u.a. Sietmann, 2006e,a,c,d,b).
4.2 Voter Verifiable Paper Audit Trails
2001 schlug R. Mercuri ein System vor, welches DRE-Wahlmaschinen um einen sogenannten Voter Veriable Paper Audit Trail (VVPAT) erweitert (vgl. Mercuri, 2001, 2002).
Mercuri beschreibt ein System, welches neben der elektronischen Speicherung einen Referenzausdruck erzeugt. Dieser Ausdruck wird dem Wähler hinter einem Glasfenster präsentiert. Bestätigt der Wähler, dass der erzeugte Ausdruck seinem Wunsch entspricht, wird
der Wahlvorgang abgeschlossen.
Der dabei erzeugte Paper Audit Trail zur nachträglichen Verizierung des Wahlergebnisses,
kommt manuell ausgefüllten Stimmzetteln sehr nahe, doch die Einführung eines zusätzlichen
Schrittes beim Wahlvorgang und die technische Realisierung induzieren einige Probleme:
•
In der Praxis hat sich gezeigt, dass Wähler nur in durchschnittlich einem von drei
Fällen die Übereinstimmung von abgegebener Stimme und Ausdruck überprüfen (vgl.
Commission on Federal Election Reform, 2005, S.26).
•
Es besteht die Gefahr, dass der Wähler vergisst sein Ergebnis zu bestätigen. Der
nächste Wähler könnte sowohl das Wahlgeheimnis brechen als auch die Stimme des
Wählers entwerten (vgl. Evans u. Paul, 2004, S.30).
•
Stellt der Wähler eine Diskrepanz zwischen der von ihm geäuÿerten Wahlentscheidung und der ausgegebenen Bestätigung, so muss er einen Wahlhelfer aufsuchen um
das Ergebnis zu annullieren. Dabei riskiert der Wähler die Wahrung seines Wahlgeheimnisses aufzugeben, was dazu führen könnte, dass Diskrepanzen nicht gemeldet
werden (vgl. Evans u. Paul, 2004, S.29).
•
Durch einen Drucker erzeugte Ausdrucke sind leichter fälschbar als manuell ausgefüllte
Wahlzettel.
Andere vorgeschlagene Verfahren wie von Chaum und Ryan erweisen sich als äuÿerst kompliziert und kostenintensiv (siehe dazu
Chaum, 2004; Chaum, Ryan, u. Schneider, 2004)
Das Wahlstiftsystem ist von keinem dieser Nachteile betroen, da der Wahlvorgang vom
Wähler keine zusätzlichen Schritte verlangt (siehe dazu auch Abschnitt 4.4). VVPAT stellt
also keine völlig gleichwertige Lösung dar.
18
4.3 Sicherheit
Elektronische Wahlmaschinen sind Computer oder Computersysteme. Zur Wahrung des
Geheimhaltungsprinzips und zur Sicherstellung der Korrektheit der Wahl muss gewährleistet werden, dass die Wahlmaschinen nicht manipulierbar sind. Der Forschungsbereich der
Computersicherheit hat grundlegende Erkenntnisse zu diesem Thema geliefert und Wahlmaschinen sollten auch unter diesen Sicherheitsaspekten betrachtet werden.
Mögliche Manipulationen am Wahlsystem kann man grob in zwei Kategorien einteilen:
physische und elektronische Manipulierbarkeit.
Um die Sicherheit eines Computersystems nachzuweisen, bietet das Bundesamt für Sicherheit in der Informationstechnik Zertizierungsmechanismen an.
4.3.1 Sicherheitszertifizierung
Es existieren eine Vielzahl von Bedrohungsszenarien gegen Wahlmaschinen. Das Deutsche
Forschungszentrum für Künstliche Intelligenz, eine vom Bundesamt für Sicherheit in der
Informationstechnik akkreditierte Zertizierungsstelle, hat 2006 im Auftrag der Hansestadt
Hamburg/Behörde für Inneres ein Commons Criteria Schutzprol für das digitale WahlstiftSystem erarbeitet (siehe Volkamer u. Vogt, 2006). Das Schutzprol stellt eine detaillierte
Analyse aller möglichen Bedrohungen gegen das Wahlstiftsystem dar, beschreibt die erforderlichen Gegenmaÿnahmen und zeigt, dass ein Wahlstiftsystem welches diese Gegenmaÿnahmen implementiert sicher ist. Das Wahlstiftsystem wird diesem Commons Criteria
Schutzprol entsprechen und demnach eine vom BSI anerkannte Sicherheitszertizierung
erhalten. Eine solche Zertizierung erachten wir für notwendig, denn es handelt sich beim
Wahlstiftsystem um ein modernes Computersystem.
Nach geltendem Recht ist in Deutschland zur Zulassung als Wahlsystem ausschlieÿlich
eine Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt notwendig. Die
Prüfkriterien nach denen die PTB Wahlsysteme prüft sind nicht oen gelegt.
Die Wahlgeräte der Firma Nedap haben als bisher einzige Wahlgeräte in Deutschland eine
solche Baumusterprüfung und Bauartzulassung erhalten. Darüber hinaus wurden von der
Firma Nedap keine weiteren Zertizierungsmaÿnahmen in Deutschland durchgeführt.
Im Abschnitt 5.3 gehen wir weiter auf die Problematik einer fehlenden Sicherheitszertizierung durch das BSI ein.
Das digitale Wahlstiftsystem strebt neben der Baumusterzulassung durch die PhysikalischTechnische Bundesanstalt eine Sicherheitszertizierung nach Commons Criteria 2.3 an. Dies
ist eine durch das Bundesministerium für Sicherheit in der Informationstechnik anerkannter
Sicherheitsstandard für Computersysteme.
19
4.3.2 Physische Manipulierbarkeit des Wahlsystems
Physische Manipulierbarkeit meint die Möglichkeit das Wahlsystem önen zu können um
mittels des so geschaenen Zugangs das Wahlsystem zu beeinussen oder Teile des Wahlsystems auszutauschen.
Sicherheit gegen physische Manipulation beim Wahlstift-System
Wie Volkamer u. Vogt feststellen, ist der Digitalstift der [einzige] Bestandteil des [Wahlsystems], der nicht unter ständiger Aufsicht des Wahlvorstands steht und der daher in besonderem Maÿe Gefährdungen der Manipulation ausgesetzt ist. (siehe Volkamer u. Vogt,
2006, S.21)
Dieser Bedrohung kann begegnet werden, indem
1. der Wahlstift mit einer holograschen Versiegelung ausgestattet wird.
2. der Wahlstift bei jeder Ausgabe elektronisch signiert wird.
Ein holograsches Siegel, mit dem der Stift bei der Abgabe als echter Wahlstift zu erkennen ist und der ein unautorisiertes Entfernen von Teilen des Stiftes verhindert, stellt
ein bewährtes Sicherheitsmerkmal dar. Weitere Sicherheitsmerkmale sind, ähnlich wie bei
Geldscheinen, denkbar.
Elektronische Signierung heiÿt, dass der Wahlstift bei jeder Aktivierung an der Dockingstation mit einem kryptograschen Merkmal ausgestattet wird. Dieses Merkmal kann bei
der Entgegennahme des Stiftes automatisch auf seine Korrektheit überprüft werden. Wird
eine Abweichung festgestellt, wurde der Wahlstift manipuliert und rechtliche Konsequenzen
können eingeleitet werden.
Die übrigen Komponenten des Wahlstiftsystems benden sich zu jeder Zeit unter Aufsicht
des Wahlvorstands.
Damit ist das Wahlstiftsystem gegen physische Manipulation geschützt.
Sicherheit gegen physische Manipulation bei DRE Systemen
Im Gegensatz zum Wahlstiftsystem bendet sich bei den Wahlgeräten ESD1, ESD2 und
ES3B der Firma Nedap und den AccuVote-TS und -TSX Geräten der Firma Diebold die
komplette Wahlmaschine im Zugrisbereich des Wählers. Die Bedrohung gegen das Wahlsystem betrit also nicht nur das Eingabegerät für eine Stimme, sondern auch die Stimmzähleinheiten. Auf die Versiegelung muss also besonderes Augenmerk gelegt werden.
In einem Bericht von Gonggrijp u.a. zu einer Sicherheitsanalyse der in den Niederlanden
verwendeten ES3B wird über die ESD1 geschrieben:
. . . the German version of this device, the ESD-1, apparently has a seal on
the inside, covering the internal electronics housing. Even if one accepts the
limitations of sealing listed above, this seal is grossly insucient because it is
20
truly trivial to bypass. It appears printed on paper and as far as we can tell uses
none of the existing tamper-evident technologies. (siehe Gonggrijp, WillemJan Hengeveld, Engling, Mehnert, Rieger, Scheers, u. Wels, 2006, S.13)
Ebenso zeigt eine Untersuchung der Diebold AccuVote-TS Wahlmaschine durch Feldman,
Halderman, u. Felten an der Princeton University, dass potentielle Angreifer die Gehäuse der
Wahlgeräte mit wenigen Handgrien önen können. Von beiden Untersuchungen werden
die mangelhaften Versiegelungs- und Schlieÿmechanismen kritisiert.
Diese Probleme sind zum einen durch mangelndes Sicherheitsbewusstsein der Hersteller
(sieh dazu auch Ziegler, 2007) als auch durch die prinzipbedingte Exposition des kompletten
Wahlgeräts an mögliche Angreifer verursacht.
Die Sicherheit gegen physische Manipulation der auf dem Markt bendlichen DRE-Geräte
von Diebold und Nedap ist als zweifelhaft zu bewerten. Das digitale Wahlstiftsystem wurde,
im Gegensatz dazu, unter Betrachtung moderner sicherheitstechnischer Aspekte entworfen
und wird mit Sicherheitsmerkmalen ausgestattet, die eine physische Manipulation nahezu
ausschlieÿen.
4.3.3 Elektronische Manipulierbarkeit
Die Möglichkeit die Software des Wahlsystems zu beeinussen, kann man als elektronische
Manipulierbarkeit bezeichnen. Ist ein System elektronisch manipulierbar hat dies besonders
schwere Konsequenzen zur Folge, denn eine Veränderung an der Software und den Daten
eines Systems nachzuweisen ist sehr schwer. Im schlimmsten Fall kann sich ein Schadprogramm oder ähnliches, durch das das Wahlsystem kompromittiert wurde, nach erfolgter
Beeinussung der Wahl selbst wieder Löschen und alle Spuren beseitigen.
Dass dies mit den AccuVote-TS Wahlgeräten der Firma Diebold möglich ist, haben Feldman
u. a. in ihrer Untersuchung gezeigt. Aufgrund von Fehlern in der Softwarearchitektur ist es
möglich die auf den Geräten laufende Software zu verändern. Feldman u. a. haben zur
Demonstration einen Computervirus erstellt, der sich durch Austausch der Speicherkarten
für die Geräte, selbsttätig verbreitet. Wird ein solcher Virus in ausreichender Zeit vor der
Wahl in Umlauf gebracht, ist eine signikante Beeinussung des Wahlergebnisses möglich
(vgl. Feldman u. a., 2006).
Die elektronische Manipulierbarkeit der Wahlgeräte der Firma Nedap wurde von der Niederländischen Aktivistengruppe Wij vertrouwen stemcomputers niet gezeigt, indem sie auf
ein Modell der ES3B, die weitgehend Baugleich zur deutschen ESD1 ist, ein Schachprogramm sowie eine Software zur Beeinussung der Wahlergebnisse installiert haben. Auch
dies lässt sich von einem gut vorbereiteten Angreifer durch wenige Handgrie an dem Gerät
realisieren (vgl. Gonggrijp u. a., 2006).
21
Auch hier zeigt sich wieder, dass eine Bauartprüfung durch die Physikalisch-Technische
Bundesanstalt als einziges Zulassungskriterium bei den bisherigen, nicht-standardisierten
Prüfverfahren kaum ausreicht um die Sicherheit eines elektronischen Wahlgeräts nachzuweisen.
Das Wahlstiftsystem strebt eine Sicherheitszertizierung durch das BSI nach Commons
Criteria 2.3 an. Weitere Zertizierungen der enthaltenen Software und Komponenten des
Systems sind vorgesehen. Damit wird eine hohe Sicherheit gegen elektronische Manipulation
erreicht.
4.4 Bedienung
Der Wahlvorgang ist ein elementarer Bestandteil einer Demokratie. Deshalb ist es auÿerordentlich wichtig, dass jeder Wahlberechtigte auch in der Lage ist zu wählen.
Die Wahl durch Papier und Stift ist ein seit Jahrzehnten bewährtes Mittel um dies sicher
zu stellen. Die Wähler sind mit dem Wahlmedium vertraut. Der Wahlvorgang lässt sich in
Bildungs- und Aufklärungsaktionen leicht vermitteln, denn zur Wiedergabe des Wahlprozesses mit einem Wahlzettel reichen einfache Printmedien aus.
Interaktive Prozesse und Benutzeroberächen wie sie die AccuVote-TS Wahlgeräte der
Firma Diebold besitzt, lassen sich schwer und nur unvollständig in Printmedien abbilden
(siehe Evans u. Paul, 2004, S.27). Auch die Folientastatur bei Nedap Geräten stellt eine
prinzipbedingte Änderung der Benutzerschnittstelle dar.
Das digitale Wahlstiftsystem ist ein gegenüber der Papierwahl für den Benutzer völlig unveränderter Vorgang. Damit bleiben bewährte Möglichkeiten der Wähleraufklärung intakt
und der Benutzer muss keine neuen Vorgänge erlernen.
4.5 Kosten
Im Folgenden wird einen Kostenabschätzung für die Ausstattung eines Wahllokals mit
dem digitalen Wahlstift System vorgestellt und mit vergleichbaren Angeboten für DREWahlgerät der Firmen Diebold Election Systems und Nedap/HSG Wahlsysteme GmbH
verglichen. Bei den Abschätzungen wurde ein Bedarf für 500 Personen zugrunde gelegt.
22
Anzahl
Produkt
1
Rechner
Preis
700 EUR
(PC mit Flachbildschirm oder Laptop
vorinstalliertes Windows XP und Wahlsoftware)
1
Lizenz Wahlsoftware
550
Stimmzettel
100 EUR
27,50 EUR
In 5 Cent pro Stück sind die Papier- und Druckkosten,
sowie die Lizenzierung des Anoto-Rasters, eingerechnet.
3
Wahlstift und Dockingstations
600 EUR
Digital Pen von Nokia SU-1B (Einzelpreis 164 EUR)
Gesamtpreis
1427,50 EUR
Die benötigte Ausstattung ist also für weniger als 1500 EUR erhältlich.
Ein vergleichbares Angebot mit Nedap Wahlgeräten ist bei der Firma HSG Wahlsysteme
GmbH erhältlich. Demzufolge liegt der Neupreis des Systems [. . . ] bei 4.100 EUR [. . . ]
pro Gerät (siehe HSG Wahlsysteme, S. 1).
Ähnliche Angebote der Firma Diebold für ein einzelnes AccuVote-TS Gerät liegen bei ca.
3000 US$, entsprechend 2316 EUR bei einem Wechselkurs von 1:1,295 (siehe ProCon Promoting Informed Citizenship, 2007)
Das digitale Wahlstiftsystem kostet ca. 1000 EUR weniger pro Wahlplatz, ist damit deutlich
günstiger als andere Wahlgeräte.
4.6 Barrierefreiheit
Eine Demokratie lebt davon, dass ihre Bürger ihr Recht zur Mitbestimmung auch nutzen.
Darum wird immer darauf geachtet die Ausübung des Wahlrechts für den Einzelnen so einfach wie möglich zu gestalten. So ist zum Beispiel im 16 Bundeswahlgesetz festgelegt, dass
die Bundestagswahl immer an einem Sonntag oder bundeseinheitlichen Feiertag stattnden
muss (vgl. BWahlG).
Besondere Vorkehrungen müssen getroen werden, um auch Wahlberechtigten mit einer
Behinderung zu ermöglichen ihr Wahlrecht auszuüben ohne dabei zu viele Hürden überwinden zu müssen. Sollen Wahlgeräte ächendeckend eingesetzt werden, so ist es wichtig,
dass sie keine neuen Barrieren schaen.
Die üblichen DRE-Wahlgeräte sind in rechteckigen Gehäusen untergebracht, die in den
Wahlkabinen aufgestellt werden. Sie können einfach auf eine geeignete Unterlage gestellt
werden. Für Rollstuhlfahrer entstehen also keine neuen Hürden, da diese genauso wie zuvor an die Schreibächen heranrollen können. Anders verhält es sich bei sehbehinderten
23
Wählern. Nur ein Teil der auf dem Markt bendlichen Geräte sieht eine Beschriftung mit
Brailleschrift vor oder hat die Möglichkeit einer Stimmausgabe (Hanken, 2005, vgl.). DREGeräte die mit einer Touchscreen Benutzerschnittstelle arbeiten, können prinzipiell nicht
mit Brailleschrift ausgestattet werden. In den meisten Fällen wären Sehbehinderte also darauf angewiesen ihren Stimmzettel von einer Hilfsperson ausfüllen zu lassen. Ein zwar im
Gesetz durchaus vorgesehener Vorgang (vgl. BWO, 57 Absatz 1), der aber einer eigenen
Stimmabgabe auf keinen Fall vorzuziehen ist.
Mit dem Wahlstiftsystem ist es jedoch, da sich der Vorgang der Stimmabgabe nicht vom
momentan üblichen Wahlvorgang unterscheidet (vgl. Abschnitt 2.2), möglich die jetzt schon
üblichen Stimmzettelschablonen einzusetzen (vgl. BWO, 57 Absatz 4). Für Rollstuhlfahrer
ergeben sich nicht mehr Probleme als sie jetzt schon bestehen.
Auch die Realisierung mobiler Wahlvorstände (vgl. BWO, 62 bis 64) ist mit dem Wahlstiftsystem leichter um zu setzen, als mit anderen Wahlgeräten, da der Wahlstift und ein
zugehöriger Laptop leichter zu transportieren sind. Es wäre also nicht nötig an manchen
Stellen auf die Schnelligkeit der elektronischen Zählung zu verzichten.
Barrierefreiheit ist mit dem Wahlstiftsystem generell leichter zu gewährleisten als mit DREWahlgeräten, wie sie momentan auf dem Markt sind.
5 rechtliche Aspekte
In diesem Abschnitt sollen die rechtlichen Aspekte der Einführung des Wahlstiftes als elektronisches Wahlgerät bei den Bundestagswahlen beleuchtet werden. Natürlich muss jedes
Wahlgerät die durch das Grundgesetz und die Gesetze gestellten Anforderungen erfüllen.
Insbesondere gehört dazu die Verordnung über den Einsatz von Wahlgeräten bei Wahlen
zum Deutschen Bundestag und der Abgeordneten des Europäischen Parlaments aus der
Bundesrepublik Deutschland, im folgenden als Wahlgeräteverordnung bezeichnet.
5.1 Das Öffentlichkeitsprinzip
Bei der Wahl zum 16. Deutschen Bundestag wurden zum ersten Mal im gröÿeren Umfang Wahlmaschinen eingesetzt. Bei einigen Bürgern führte dies zu Bedenken, ob das in
10,Abs.1 und 31, Satz 1 Bundeswahlgesetz (vgl. BWahlG), kurz BWG, verankerte Öentlichkeitsprinzip der Wahl verletzt wurde. In mehreren Wahlkreisen kam es sogar zu einem
Einspruch gegen das Ergebnis der Wahl.
Hauptkritikpunkt war, dass durch die Ergebnisermittlung innerhalb der verwendeten Geräte
keine öentliche Auszählung der Stimmen mehr stattnden würde, die Auszählung der
Stimmen gar geheim wäre (vgl. Wiesner).
Das Bundesministerium des Innern stellte in seiner Stellungnahme zu den Wahleinsprüchen
24
aus dem Mai 2006 fest, dass [. . . ] das Öentlichkeitsprinzip nicht grenzenlos gewährleistet
[ist]. (Bundesministerium des Innern, 2006, S.9), es gar nicht grenzenlos gewährt werden
kann, da es mit dem Ziel das Ergebnis einer Wahl so schnell wie möglich der Öentlichkeit
zugängig zu machen im Konikt steht.
Da der öentliche Zugang zu den Räumlichkeiten, in denen das Ergebnis ermittelt wird,
weiter besteht und alle Kontrollfunktionen, die durch die Öentlichkeit der Wahl ermöglicht werden auch weiterhin erfüllt werden, besteht bei der Wahl mit Wahlgeräten keine
Verletzung des Öentlichkeitsprinzips.
Da der digitale Wahlstift prinzipiell so arbeitet wie die meisten anderen Wahlgeräte auch,
vgl. Abschnitte 2.2 und 3.2, bestehen in Bezug auf das Öentlichkeitsprinzip der Wahl
demnach keine Bedenken. Im Gegenteil, da eine reale Abgabe eines Stimmzettels Teil des
Ablaufs ist, kann die Auszählung der Stimmen nachträglich noch genauso öentlich wie bei
der momentan üblichen Papierwahl stattnden.
5.2 Die Wahlgeräteverordnung
In der Wahlgeräteverordnung ist festgelegt, welche Bedingungen ein Wahlgerät erfüllen
muss, um zu einer Wahl zugelassen werden zu können. In der Wahlgeräteverordnung wird
von Systemen ausgegangen, die gänzlich in einem Gehäuse untergebracht sind. Zumindest
kann 1 so interpretiert werden, und wurde er bis jetzt auch (vgl. BWahlGV).
'
$
Das Wahlstift System besteht nun aus mehreren vollkommen autonomen Teilen, die nur
zusammen die gewünschte Funktionalität an den Tag legen. Um einen Einsatz des Wahlstiftes bei der nächsten Bundestagswahl zu ermöglichen wäre eine Anpassung der Denition
eines Wahlgerätes nötig. Es müsste die Möglichkeit aufgenommen werden, das ein Wahlgerät aus mehreren einzelnen Komponenten bestehen kann, die zusammen die Anforderungen
der Wahlgeräte Verordnung erfüllen.
&
%
5.3 Bauartzulassung und Sicherheitszertifizierung
Um eine Verwendungsgenehmigung für ein Wahlgerät durch das Bundesministerium des
Innern zu erhalten, ist es bisher notwendig dem BMI eine Baumusterprüfung durch die
Physikalisch-Technische Bundesanstalt vorzulegen. Dies ist eine notwendige Voraussetzung,
doch stellen moderne Wahlgeräte komplexe Computersystem dar. Die 1975 vom BMI erlassene Bundeswahlgeräteverordnung geht aber von mechanischen und einfachen elektromechanischen Wahlgeräten aus. Sowohl die sich auf dem Markt bendenden Geräte der Firma
Nedap, als auch die Geräte der Firma Diebold und das Wahlstiftsystem stellen allerdings
keine solche einfachen Geräte mehr dar (siehe dazu auch Sietmann, 2006c).
Für die Prüfung der Sicherheit von Computersystem ist es in Deutschland üblich eine Zertizierung nach Sicherheitskriterien des Bundesamtes für Sicherheit in der Informationstechnik
25
vorzunehmen. Für das Wahlstiftsystem wurde ein Commons Criteria Schutzprol erstellt und
liegt dem BSI unter der Zertizierungskennung BSI-PP-0031 vor. Eine solche Zertizierung
stellt sicher, dass mögliche Bedrohungen gegen das betroene System ausgiebig analysiert
werden und im System entsprechende Gegenmaÿnahmen getroen werden.
Wir empfehlen daher die Voraussetzungen für eine Bauartzulassung in der Bundeswahlgeräteverordnung zu ergänzen. Handelt es sich bei dem zuzulassenden System um ein vollständig
elektronisches System, so sollte
zusätzlich eine Sicherheitszertizierung
nach anerkannten
Sicherheitskriterien des BSI erfolgen.
5.4 Diskrepanzen zwischen elektronischem und Papier-Ergebnis
Bei allen Wahlsystemen, die neben der elektronischen Datenerfassung noch einen Papertrail
haben stellt sich die Frage, welche Methode der Stimmerfassung letztlich verbindlich ist,
sollte sich bei einer Nachzählung der Papierstimmzettel eine Diskrepanz zum elektronischen
Ergebnis herausstellen.
In Staaten, in denen solche Systeme zur Wahl eingesetzt werden, sind unterschiedlichste
Regelungen dazu getroen worden, und natürlich muss auch in der Bundesrepublik Deutschland für einen solchen Fall eine Regelung geschaen werden.
Bei der Auswertung der Stimmen aus dem Wahlsystem lässt der Wahlvorstand die gröÿte
Sorgfalt wallten. Auch das System selbst ist durch ausführliche Tests so sicher, dass von
der Richtigkeit des Ergebnisses ausgegangen werden kann.
Sollte es aber nach 2 Wahlprüfungsgesetz (vgl. WahlPrG) zu einem Einspruch gegen die
Wahl kommen und im Zuge des Wahlprüfungsverfahrens zu einer Auszählung der Papierstimmzettel, muss davon ausgegangen werden, das versucht wurde das elektronische System
zu manipulieren, weswegen in einem solchem Fall dem Ergebnis der Auszählung der Papierstimmen der Vorzug zu geben wäre. Da eine Manipulation des elektronischen Verfahrens
niemals Auswirkungen auf die vom Wähler selbst ausgefüllten Stimmzettel haben kann.
Wir empfehlen deshalb nur im Falle einer durch Verdacht auf einen Manipulationsversuch
ausgelösten Nachzählung, das elektronische Zählungsergebnis zu verwerfen und dem von
Hand ermittelten Ergebnis den Vorzug zu geben.
6 Zusammenfassung und Fazit
Internationale Expertenteams haben gezeigt, dass klassische DRE-Maschinen ohne VVPAT
viele Probleme aufwerfen. Diese sind sowohl sicherheitstechnischer Natur (siehe Abschnitt
4.3) als auch rechtlicher Natur. Es ist fragwürdig ob reine DRE-Maschinen dem Prinzip der
26
öentlichen Auszählung genügen (siehe dazu Abschnitt 5.1).
Ein sog. Voter Veriable Paper Audit Trail löst einige dieser Probleme, doch nicht alle
(siehe Abschnitt 4.2). DRE-Wahlmaschinen bieten noch nicht das Maÿ an Vertrauenswürdigkeit, welches für eine gute, demokratische Wahl notwendig ist.
Das digitale Wahlstiftsystem vereinigt die Vorteile der elektronischen Wahl mit den Vorteilen der Papierwahl. Dabei bleibt der Wahlvorgang für den Wähler nahezu identisch zur
bisherigen Papierwahl (siehe dazu Abschnitte 4.4 und 2.2).
Die elektronische Auszählung der Stimmen wird über die Verwendung eines Digitalstiftes
realisiert. Eine genaue Beschreibung des Verfahrens bendet sich unter Abschnitt 2.
Umfragen bei Testwahlen in Hamburg und Mainz haben gezeigt, dass die Wähler das Verfahren gut akzeptieren. DRE-Wahlmaschinen haben bei älteren Untersuchungen zwar ähnliche
gute Ergebnisse erreicht, die neuen Erkenntnisse bzgl. ihrer Sicherheitsprobleme und die
damit verbundene Presseaktivitäten lassen jedoch befürchten, dass dies berechtigterweise
nicht so bleiben wird. Ein unsicheres System wird auf Dauer das Vertrauen der Wähler
verlieren (siehe dazu Abschnitt 4.1).
Das digitale Wahlstiftsystem wurde von Anfang an als ein komplexes Computersystem
betrachtet und den daraus resultierenden Sicherheitsaspekten wird Rechnung getragen. Dies
geschieht z.B. durch eine Sicherheitszertizierung nach Commons Criteria Richtlinien, die
durch das Bundesamt für Sicherheit in der Informationstechnik als Zertizierungsmethode
anerkannt sind (siehe dazu Abschnitt 4.3.1).
Diese Zertizierungsstandards sollten als Zulassungskriterium für DRE-Wahlmaschinen eingeführt werden, da es sich bei ihnen auch um komplexe Computersysteme und nicht um
einfache mechanische oder elektromechanische Wahlgeräte handelt, wie sie in der Bundeswahlgeräteverordnung angedacht sind.
Des Weiteren schreibt die Bundeswahlgeräteverordnung enge Grenzen für die mögliche technische Umsetzung von Wahlgeräten vor, so dass das Wahlstiftsystem mit seinen Vorteilen,
nicht in diese Grenzen fällt. Die Bundeswahlgeräteverordnung muss deshalb in dieser Richtung überarbeitet werden, damit es kompatibel zu innovativen, neuen Konzepten bleibt
(siehe dazu Abschnitt 5.2).
Eine kurze Kostenanalyse hat gezeigt, dass das digitale Wahlstiftsystem in seiner Anschaffung deutlich günstiger wird als vergleichbare Angebote der Firma Diebold oder Nedap. Bei
einer bundesweiten Wahl und der aktuellen Haushaltslage in der Bundesrepublik Deutschland sollte dies ein wichtiger Entscheidungsfaktor sein.
Betrachtet man die Wichtigkeit einer bundesweiten Wahl, dann kann eine Entscheidung über
den Einsatz von Wahlmaschinen in anbetracht der angebrachten Bedenken nur gegen DREWahlmaschinen ausfallen. Das digitale Wahlstiftsystem stellt eine zuverlässige und rechtlich
unbedenkliche Alternative dar und demonstriert die Leistungsfähigkeit der deutschen ITIndustrie und der Innovationskraft des Industriestandorts Deutschland.
27
Literatur
[Bundesministerium des Innern 2006]
Bundesministerium des Innern:
zu den Wahleinsprüchen 76/05, 108/05, 145/05.
Mai 2006
Bundeswahlgesetz.
bundesrecht/bwahlg/gesamt.pdf
[BWahlG
]
Stellungnahme
http://bundesrecht.juris.de/
BWahlG:
Verordnung über den Einsatz von Wahlgeräten bei Wahlen zum
Deutschen Bundestag und der Abgeordneten des Europäischen Parlaments aus der Bundesrepublik Deutschland. http://bundesrecht.juris.de/bundesrecht/bwahlgv/
gesamt.pdf
[BWahlGV ]
BWahlGV:
BWO: Bundeswahlordnung. http://bundesrecht.juris.de/bundesrecht/
bwo_1985/gesamt.pdf
[BWO ]
[Chaum
Chaum,
2004]
D.:
Secret-ballot
receipts:
True
voter-veriable
IEEE Security & Privacy Magazine 2 (2004), Nr. 1,
ieeecomputersociety.org/10.1109/MSECP.2004.1264852
In:
Chaum,
[Chaum u. a. 2004]
D. ;
Ryan,
P.Y.A. ;
Schneider,
ESORICS 3679 (2004),
ac.uk/research/pubs/trs/papers/880.pdf
veriable election scheme. In:
[Commission on Federal Election Reform 2005]
3847.
S.:
118139.
elections.
http://doi.
A practical, voter-
http://www.cs.ncl.
Commission on Federal Electi-
on Reform: Building Condence in U.S. Elections - Report of the Commission
on Federal Election Reform. http://eff.org/Activism/E-voting/cb_commission_
report.pdf. Version: September 2005
[Evans u. Paul 2004]
Evans,
D. ;
Paul,
N.:
Election security: Perception and reality.
Security & Privacy Magazine, IEEE 2 (2004), Nr. 1,
ieee.org/xpl/freeabs_all.jsp?arnumber=1264850
In:
[Feldman u. a. 2006]
Feldman,
A.J. ;
Halderman,
J.A. ;
2431.
http://ieeexplore.
Felten,
E.W.: Security Ana-
lysis of the Diebold AccuVote-TS Voting Machine / Princeton University. Version: 2006.
http://itpolicy.princeton.edu/voting/ts-paper.pdf.
2006. Forschungsbe-
richt
[Gonggrijp
;
u. a.
Engling,
Wels,
2006]
Dirk
Barry:
;
Gonggrijp,
Mehnert,
Rop
Hannes
Nedap/Groenendaal
Willem-Jan Hengeveld,
;
;
ES3B
Rieger,
voting
Frank
computer
The "We do not trust voting computers"foundation.
Andreas
Scheffers,
;
-
a
security
Version: 2006.
wijvertrouwenstemcomputersniet.nl/other/es3b-en.pdf.
B.
Pascal
analysis
;
/
http://www.
2006. Forschungs-
bericht
Elektronisches NON zur EU-Verfassung. http://www.
o-tan.fr/article.php3?id_article=1666. Version: Juni 2005. aus dem Franzö-
[Hanken 2005]
Hanken,
Claas:
sischem L'observatoire des territoires et administrations numérique
28
[Herrnson u. Bederson 2003]
Herrnson,
ryland's New Voting Machine. (2003).
1903/1247/1/CS-TR-4429.pdf
P.S. ;
Bederson,
B.B.: An Evaluation Of Ma-
https://drum.umd.edu/dspace/bitstream/
Angebot über 74 Nedap-Wahlmaschienen an
die Stadt Cottbus. http://ptrace.fefe.de/cottbus/Anlage3_II-025-06.pdf. [HSG Wahlsysteme ]
HSG Wahlsysteme:
vom 24 Juli 2006
[Landeswahlleiter Freie Hansestadt Hamburg 2005]
stadt Hamburg:
Landeswahlleiter Freie Hanse-
Pilotstudie zum Digitalen Wahlstift / Behörde für Inneres Ham-
http://fhh.hamburg.de/stadt/Aktuell/wahl/
digitaler_20wahlstift/pilotstudie,property=source.pdf. 2005. Forschungsburg.
Version: Dezember
2005.
bericht
[Mercuri 2001]
(2001).
Mercuri,
Rebecca T.:
Electronic vote tabulation checks and balances.
http://repository.upenn.edu/dissertations/AAI3003665
[Mercuri 2002]
Spectrum, IEEE 39 (2002),
http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=
Mercuri,
Nr. 10, 4650.
1038569
Benutzerhandbuch für den Nokia Digitalstift (SUhttp://nds1.nokia.com/phones/files/guides/Nokia_Digital_Pen_
[Nokia Group 2003]
1B), 2003.
UG_de.pdf
Rebecca T.: A better ballot box? In:
Nokia Group:
Portal Systems: Digital Pen - Das Verfahren ausführlich. http:
//www.portal-systems.net/index.php?action=show_site&id=135
[Portal Systems ]
[ProCon - Promoting Informed Citizenship 2007]
ProCon - Promoting Informed
Citizenship: Q&A - How much does it cost to purchase an electronic voting machine?
http://www.votingmachinesprocon.org/questions/cost.htm. Version: Februar
2007
[Prof. Dr. Sarcinelli u. Thomsen 2001]
Prof. Dr. Sarcinelli,
Ulrich ;
Thomsen,
Ni-
Einsatz elektronischer Stimmenzählgeräte bei der Wahl zum vierzehnten Landtag
Rheinland-Pfalz am 25.03.01, Studie im Auftrag des rheinland-pfälzischen Ministerium
des Innern und für Sport. September 2001
na:
[Sietmann 2006a]
Sietmann,
Richard: Dreimal drücken - fertig? In:
http://www.heise.de/ct/05/19/054/
[Sietmann 2006b]
Sietmann,
Richard:
Eine Neue Situation.
In:
[Sietmann 2006c]
Sietmann,
c't
c't
19 (2006), p54.
24 (2006), p72.
Richard: Obskure Demokratie-Maschine. In:
c't
20 (2006),
S. p86
[Sietmann 2006d]
Sietmann,
Richard:
Schach dem E-Voting.
In:
c't
22 (2006), p52.
29
[Sietmann 2006e]
Sietmann,
Richard:
Der Stift-Kompromiss.
In:
c't
6 (2006), p90.
Test des digitalen Stifts Landtagswahl 2006 - Dokumentation.
http://www.mainz.de/C1256D6E003D3E93/files/dokumentation_
wahlstift_2006.pdf/%24FILE/dokumentation_wahlstift_2006.pdf.
[Stadt Mainz 2006]
Stadt Mainz:
Version: März 2006
[Statistisches
Amt
für
Hamburg
und
Schleswig-Holstein
2005]
Statistisches
Test des Digitalen
Wahlstifts - Ergebnisse der Befragung zur Bundestagswahl 2005 in Hamburg.
http://fhh.hamburg.de/stadt/Aktuell/wahl/digitaler_20wahlstift/
anhang_20VIII__befragungsbericht,property=source.pdf. Version: Dezember
Amt
für
Hamburg
und
Schleswig-Holstein:
2005
[Volkamer
teria
für
u.
Vogt
Schutzprol
künstliche
2006]
Volkamer,
Digitales
Intelligenz
Melanie
Wahlstift-System
GmbH,
Behörde
für
;
Vogt,
/
Roland:
Deutsches
Inneres
Common
Cri-
Forschungszentrum
Hamburg.
Version: 2006.
http://fhh.hamburg.de/stadt/Aktuell/pressemeldungen/2006/oktober/
31/2006-10-31-bfi-pm-wahl-digitalerstift-schutzprofil-pdf,property=
source.pdf. 2006. Forschungsbericht
Wahlprüfungsgesetz.
bundesrecht/wahlprg/gesamt.pdf
[WahlPrG
[Wiesner ]
]
WahlPrG:
Wiesner,
Ulrich:
Bundestag
[Ziegler 2007]
tion. In:
Ziegler,
http://bundesrecht.juris.de/
Einspruch gegen das Ergebnis der Wahlen zum 16. Deutschen
Peter-Michael: Diebold-Wahlmaschinen: Schlüssel zur Manipula-
heise news/c't
(2007).
http://www.heise.de/newsticker/meldung/84345
Alle Internet-Links wurden am 02.Februar 2007 kontrolliert. Auf Anfrage sind Kopien diesen
Datums bei den Autoren erhältlich.
30

PDF

Transcrição

Documentos relacionados

G E M E I N D E R A T Name Vorname Straße PLZ Wohnort

Normal mit Dateiname und Seite - Freie Wählervereinigung Altlußheim

The Leprechaun - Leprechaun Irish Pub

Wahlergebnisse im Videotext

Das wär doch was für meine Oma! Oder für Opa?

Welt am Sonntag - Forum Rauchfrei

Wählergruppe, jetzt - Freie Wähler Bayern

Rede Tann Kernthema: Bayern erhalten Sehr geehrte Damen und

Klassik-Open-Air auf dem Odeonsplatz für alle